Практика применения BYOD

BYOD/Bring Your Own Device

Консьюмеризация вместе с ростом мощных и удобных персональных устройств наступает по всему миру. Смартфоны, планшетные компьютеры уже широко распространены и, что наиболее важно, доступно огромное количество платных и бесплатных приложений практически под любые задачи. Это создает огромные перспективы для различных аспектов бизнеса компаний всех типов, но возникают и риски. Компании это уже не просто ощущают, а понимают необходимость поиска адекватного и полноценного решения такой проблемы, как эффективное и безопасное управление подключением мобильных устройств сотрудников к корпоративной сети. И решение здесь – BYOD.
BYOD, фактически, это системный подход, выраженный в разработке подходящих правил использования на сети персональных мобильных устройств совместно с устройствами, выданными компанией, а также в реализации политик управления и безопасности с помощью соответствующего оборудования.

Но это – в развитых странах, а у нас?

Пока нередко приходится слышать: «нам это не интересно», «у нас лишь горстка высших руководителей имеет право использовать айпады, и им мы обеспечиваем безопасный сервис, а остальным запрещаем», «нам все равно»…

Но «все равно» может быть кому угодно, но только не владельцу бизнеса. С одной стороны, BYOD существенно увеличивает лояльность сотрудников к компании. Ведь только представьте: человек долго выбирал себе смартфон, потом перепробовал не один десяток приложений, подобрал то, что ему удобно, и теперь совершенно доволен. ИТ-службе ни за что не обеспечить такой уровень удовлетворенности сотрудника: она просто физически не может тратить на каждого столько же времени, сколько сотрудник тратит сам на себя в нерабочее время. С другой стороны, существуют многочисленные исследования, показывающие, что пользователи (корпоративные сотрудники), которым разрешили использовать свои собственные мобильные устройства, работают более продуктивно. Это происходит за счет использования некоторого количества дополнительного времени, которое обычно тратится вхолостую (перекуры, всевозможные перерывы, обеденное время и т.п.). При наличии удобного персонального мобильного устройства, повсеместного качественного Wi-Fi покрытия в офисах компании и законченного решения, обеспечивающего безопасное и управляемое использование таких устройств мы и получим значительные бизнес-преимущества в контролируемой среде. И при этом не надо оплачивать большой труд по выбору и настройке конечных устройств. Хотя, справедливости ради, надо сказать, что многие западные компании дотируют сотрудников в большей или меньшей степени на мобильные устройства и, естественно, на связь.

Давайте также рассмотрим еще несколько примеров того, как могут эффективно использоваться персональные мобильные устройства в корпоративной среде для создания реальных преимуществ в ежедневной деятельности:

  1. Устанавливаем голосовое приложение Cisco Jabber на iPhone, iPad или андроид-устройства, разворачиваем центральную часть коммуникационной инфраструктуры в штабквартире. Делаем персонализированные конфигурации, например, с одним корпоративным номером, как единой точкой доступа к сотруднику. Не забываем про корпоративную сеть Wi-Fi со сплошным покрытием и дизайном под маломощные мобильные устройства. И тогда сотрудник всегда доступен через такой единый номер. При этом в офисе, дома или в любых местах с Wi-Fi связь может осуществляться по сети доступа Wi-Fi. В офисе отпадает необходимость в настольных или любых других телефонах, кроме единственного смартфона. А если еще начать использовать видео на том же приложении?
  2. То же касается возможностей совместной работы над документами и конференций с большим количеством участников. Здесь отличным вариантом является использование приложения Cisco Webex, которое также может быть использовано на устройствах с iOS или Android. В данном случае где бы не оказался сотрудник со своим мобильным устройством он может принять полноценное участие в конференции (хотя в офисе, конечно, удобнее). Потребности в Wi-Fi те же.

Рассмотрим некоторые важные составляющие BYOD решения

Прежде всего необходимо описать сценарии использования различных корпоративных ресурсов различными группами пользователей (обычные сотрудники, сотрудники с высоким уровнем допуска, гости) с учетом их местоположения (внутри офиса или удаленный доступ). Важно четко понимать, что политики должны быть всеобъемлющими и однозначно включать в себя пользователей со смартфонами, планшетными компьютерам, а не только с ноутбуками. Естественно, что политки не должны быть статичными. Наоборот это должно постоянно отслеживаться, корректироваться, а изменения доводиться до сотрудников.

Естественно, что персональное устройство сотрудника нельзя считать полноценным корпоративным мобильным устройством (полностью контролируемым ИТ-службой компании), поэтому продуманная архитектура безопасности является краеугольным камнем любого BYOD решения. Для обеспечения безопасности необходимо ввести механизм доступа, основанный на степени доверия не только к пользователю, но и к устройству, с помощью которого он получает доступ к корпоративной сети и информации в этой сети. Первичным здесь можно считать функционал идентификации профиля устройства при попытке входа в сеть. Так, например, если сотрудник пытается войти в корпоративную сеть с корпоративным ноутбуком он может получить доступ в определенный сегмент внутренней сети с максимальным доступом для уровня данного пользователя, но если через 5 минут в кафе через дорогу тот же сотрудник захочет удаленно войти в корпоративную сеть со своего смартфона (хотя и через VPN, и с корпоративными логином/паролем), то он сможет получить доступ, но в сегмент с более ограниченными ресурсами в доступе. Например, врач внутри больницы может иметь полный доступ ко всему, но за пределами больницы он будет иметь ограниченный доступ, без возможности просматривать наиболее чувствительную информацию (личные данные больных, медицинские записи больных и т.п.). В решении Cisco такой функционал обеспечивает Cisco ISE/Identity Services Engine.

Важно правильно спроектировать сеть доступа Wi-Fi, так как здесь радиодизайн должен однозначно учитывать широкое применение мобильных устройств с низкой энергетикой. Решение в целом должно основываться на централизованной архитектуре с Wi-Fi контроллером во главе. Контроллер здесь управляет обновлением программного обеспечения, изменениями конфигураций, динамически управляет радиоресурсами, управляет связью сети WLAN с внешними серверами (ААА, DHCP, LDAP и т.п.), управляет аутентификацией пользователей, управляет функциями качества обслуживания пользователей и т.п.. Для качественного обслуживания маломощных мобильных устройств необходимо, чтобы сеть WLAN имела интегрированные механизмы контроля спектра и могла динамически реагировать на возникновение существенных источников интерференции, способных привести к деградации сервиса или вообще к невозможности Wi-Fi клиентами получать доступ к сети Wi-Fi. Всеми этим свойствами в максимальной степени обладает архитектура CUWN (Cisco Unified Wireless Network) с интегрированной технологией CleanAir — это фактически встроенный анализатор спектра и логика быстрого самовосстановления сети при негативном изменении радиообстановки. Такое решение позволяет иметь высочайший уровень надежности и доступности беспроводной сети при минимальном контроле со стороны ИТ-службы.

При выходе в Интернет сотрудников или гостей компании возможно также введение контроля трафика и ограничения доступа к ресурсам определенного типа или ограничение доступных сервисов на каких-либо веб-сайтах. Можно привести следующие популярные примеры:

  • нельзя войти на игровые сайты (категория Gambling),
  • можно пользоваться аккаунтом в социальной сети, но нельзя выкладывать фотографии,
  • нельзя получить доступ к сайту, который попал в лист закрытых, как источник распространения вирусов и вредоносных программ,
  • нельзя изменить уровень фильтрации результатов поиска в поисковых машинах, чтобы отсечь возможность поиска доступа сайтов определенных социально-нежелательных категорий.

В решении Cisco такой функционал обеспечивает Cisco IronPort.

В заключении хотелось бы еще раз подчеркнуть, что использование персональных мобильных устройств очень перспективно для любого бизнеса, включая госсектор (например в США в госсекторе BYOD развивается очень мощно), но необходимо порекомендовать формировать политики BYOD достаточно жесткими. И здесь надо четко понимать, что нельзя относится к персональным мобильным устройствам на корпоративной сети также, как к ноутбукам, которые выдает компания и полностью контролирует ИТ-служба. Компании могут потерять важную информацию, если политики безопасности для мобильных устройств будут недостаточно сильными.

Реклама

Cisco CleanAir — всевидящий WLAN

Очень хочется вспомнить уже не новую, но крайне эффективную технологию Cisco CleanAir, которую вот уже около двух лет никто не может превзойти, хотя попытки предпринимают многие. CleanAir — это интеллектуальный контроль спектра, позволяющий идентифицировать одиночные и множественные источники интерференции в зоне покрытия WLAN. С этой информацией решение Cisco может выполнять такие действия как:

  • информировать о наличии интерференции,
  • идентифицировать источники интерференции с высоким разрешением,
  • определять уровень опасности от этих источников,
  • при превышении конфигурируемых пороговых значений уровня опасности решение Cisco WLAN может автоматически и быстро перестраивать частотные каналы для того, чтобы вывести «инфицированный» канал из «зоны поражения» и использовать его там, где это возможно.

Эффективная и высокоуровневая реализация технологии интеллектуального контроля спектра стала возможна благодаря использованию выделенного специализированного чипа. Этот чип позволяет собирать данные о спектре, не влияя при этом на обслуживание пользовательского трафика центральным процессором Точки Доступа. Данная технология изначально нацелена на анализ не только источников Wi-Fi интерференции, но и Не-Wi-Fi, так как система работает на физическом уровне. Это позволяет очень эффективно использовать CleanAir не только для контроля спектра и реагирования на проблемы такого типа, но и, как существенное дополнение, применять технологию для дополнения системы безопасности Wi-Fi. CleanAir дает возможность, например, легко вычислять такие «невидимые» для обычных систем безопасности источники проблем как: точки доступа или домашние роутеры со смещенным частотным каналом или нахождение этого канала в группе, запрещенной к использованию в данном регионе и т.п..

Для более наглядного представления о том, что такое CleanAir, и как работает технология я сделал синхронный перевод короткого видео, снятого моими американскими коллегами. Рекомендую посмотреть!

Видео Cisco CleanAir: